|
ip access-group 100 out Маршрутизатор R3.1 является пограничным для данной схемы построения ДМЗ. Здесь необходимо разрешить прохождение интернет-трафика от сети демилитаризованной зоны третьего филиала к любому другому узлу сети: access-list 100 permit ip 45.35.25.0 0.0.0.255 any Запретить прохождение любого другого входящего трафика протокола IP: access-list 100 deny ip any any Разрешить прохождение интернет-трафика от любого узла сети к сети демилитаризованной зоны центрального офиса: access-list 101 permit ip any 45.35.25.0 0.0.0.255 И запретить прохождение любого другого исходящего трафика протокола IP: access-list 101 deny ip any any Привязка списка доступа №100 к интерфейсу f1/1 для входящего трафика: interface FastEthernet1/1 ip access-group 100 in Привязка списка доступа №101 к интерфейсу f1/1 для исходящего трафика: interface FastEthernet1/1 ip access-group 101 out 9.5 Маршрутизатор R2.2 В данном маршрутизаторе будут составлены списки доступа для интерфейса FastEthernet0/1 с идентификаторами 100 и 101 для исходящего и входящего трафика соответственно. Сначала нужно разрешить работу протокола маршрутизации RIP, обеспечивающего маршрутизацию в сети, так как иначе станет невозможной работа VPN-туннеля: access-list 100 permit rip any any Нужно разрешить прохождение трафика протокола GRE, обеспечивающего работу VPNтуннелей, от узла с IP-адресом 45.10.35.2 к узлам с IP-адресом 55.40.25.1: access-list 100 permit gre host 45.10.35.2 host 55.40.25.1 Аналогичным образом составляется список доступа 101, работающий на входящий трафик. access-list 101 permit rip any any access-list 101 permit gre host 55.40.25.1 host 45.10.35.2 Настройка сетевого доступа второго филиала между отделами и HTTP, DNS-серверами. В таблице 9.5.1 представлены данные о обеспечении доступности сетевых сервисов DNS и HTTP |
|
Таблица 9.5.1 - доступность сетевых сервисов DNS и HТТР второго филиала
Теперь необходимо запретить любой другой интернет-трафик, чтобы уменьшить вероятность попадания злоумышленника во внутреннюю сеть: access-list 100 deny ip any any access-list 101 deny ip any any Привязка списка доступа №101 к интерфейсу f0/1 для входящего трафика: interface FastEthernet0/1 ip access-group 101 in Привязка списка доступа №100 к интерфейсу f0/1 для исходящего трафика: interface FastEthernet0/1 ip access-group 100 out 9.6 Маршрутизатор R2.1 Этот маршрутизатор является пограничным для данной схемы построения ДМЗ. Здесь необходимо разрешить прохождение интернет-трафика от сети демилитаризованной зоны второго филиала к любому другому узлу сети: access-list 100 permit ip 40.50.10.0 0.0.0.255 any Запретить прохождение любого другого входящего трафика протокола IP: access-list 100 deny ip any any Разрешить прохождение интернет-трафика от любого узла сети к сети демилитаризованной зоны центрального офиса: access-list 101 permit ip any 40.50.10.0 0.0.0.255 И запретить прохождение любого другого исходящего трафика протокола IP: access-list 101 deny ip any any Привязка списка доступа №100 к интерфейсу f0/1 для входящего трафика: interface FastEthernet0/1 ip access-group 100 in |
Уважаемый посетитель!
Чтобы распечатать файл, скачайте его (в формате Word).
Ссылка на скачивание - внизу страницы.